Microsoft サイバーセキュリティ国防 Operations CenterMicrosoft Cybersecurity Defense Operations Center

サイバーセキュリティの脅威を保護、検出、対応するための Microsoft のベストプラクティスを共有する

サイバーセキュリティは共有責任であり、すべてに影響します。Cybersecurity is a shared responsibility, which impacts us all. 現在、1つの侵害 (物理的または仮想) によって、組織に対して何百万ドルの損害が発生する可能性があります。また、世界経済に対する金銭的損失が発生する可能性があります。Today, a single breach, physical or virtual, can cause millions of dollars of damage to an organization and potentially billions in financial losses to the global economy. 毎日、財務上の利益やソーシャルを目的として、企業と個人を対象とした倒すのレポートが表示されます。Every day, we see reports of cybercriminals targeting businesses and individuals for financial gain or socially-motivated purposes. これらの脅威に、業務を中断したり、諜報活動を実施したり、一般に信頼を侵害したりするために、これらの脅威に追加します。Add to these threats those by nation-state actors seeking to disrupt operations, conduct espionage, or generally undermine trust.

この brief では、オンラインセキュリティ、脅威アクター、およびそれらの目標を達成するために採用されている高度な戦術の状態を共有し、マイクロソフトのサイバー防御オペレーションセンターがこれらの脅威を combats し、お客様の機密情報を保護する方法について説明します。アプリケーションとデータ。In this brief, we share the state of online security, threat actors and the sophisticated tactics they employ to advance their goals, and how Microsoft’s Cyber Defense Operations Center combats these threats and helps customers protect their sensitive applications and data.

Microsoft Cyber Defense Operations Center

Microsoft サイバー防御 (Operations Center)The Microsoft Cyber Defense Operations Center

Microsoft は、すべてのユーザーに対してオンラインの世界をより安全にすることをお約束しています。Microsoft is deeply committed to making the online world safer for everyone. 当社の企業のサイバーセキュリティ戦略は、急速に進化する cyberthreat ランドスケープにおける独自の可視性から発展してきました。Our company’s cybersecurity strategies have evolved from the unique visibility we have into the rapidly evolving cyberthreat landscape.

人間、場所、プロセスにわたる攻撃領域のイノベーションは、決定と洗練の両方で敵対者を続けるために必要な継続的な投資です。Innovation in the attack space across people, places, and processes is a necessary and continual investment we all need to make, as adversaries continue to evolve in both determination and sophistication. 多くの組織による防御戦略への投資が増えるにつれて、攻撃者は猛烈な速さ速度で戦術を調整し、改善しています。In response to increased investments in defense strategies by many organizations, attackers are adapting and improving tactics at breakneck speed. 幸いにも、Microsoft のグローバル情報セキュリティチームのような cyberdefenders は、継続的かつ高度なトレーニングと最新のセキュリティテクノロジ、ツール、プロセスにより、信頼性の高い攻撃方法を革新し、中断しています。Fortunately, cyberdefenders like Microsoft’s global information security teams are also innovating and disrupting long-reliable attack methods with ongoing, advanced training and modern security technologies, tools, and processes.

Microsoft サイバーディフェンスオペレーションセンター (CDOC) は、セキュリティ、データ保護、リスク管理に毎年投資する $10億を超えるの一例です。The Microsoft Cyber Defense Operations Center (CDOC) is one example of the more than $1 billion we invest each year on security, data protection, and risk management. CDOC は、サイバーセキュリティの専門家とデータ科学者を24時間365日体制で、リアルタイムで脅威に対処します。The CDOC brings together cybersecurity specialists and data scientists in a 24x7 facility to combat threats in real-time. Microsoft は、製品開発チーム、情報セキュリティグループ、および法務チーム全体で3500を超えるセキュリティ専門家に接続して、クラウドインフラストラクチャとサービス、製品とデバイス、および内部リソースを保護しています。We are connected to more than 3,500 security professionals globally across our product development teams, information security groups, and legal teams to protect our cloud infrastructure and services, products and devices, and internal resources.

Microsoft は、Microsoft クラウドを使用して、Fortune 500 企業の90% を超えるクラウドインフラストラクチャで $150億以上の投資を行っています。Microsoft has invested more than $15 billion in our cloud infrastructure, with over 90 percent of Fortune 500 companies using the Microsoft cloud. 今日では、世界最大規模のクラウドフットプリントの1つを、100を超える地理的分散データセンター、200のクラウドサービス、何百万ものデバイス、世界中の10億ドルのお客様に提供して運用しています。Today, we own and operate one of the world’s largest cloud footprints with more than 100 geo-distributed datacenters, 200 cloud services, millions of devices, and a billion customers around the globe.

脅威のアクターと動機をサイバーセキュリティCybersecurity threat actors and motivations

ユーザー、デバイス、データ、および重要なインフラストラクチャを保護するための最初の手順は、さまざまな種類の脅威アクターとその動機を理解することです。The first step to protecting people, devices, data, and critical infrastructure is to understand the different types of threat actors and their motivations.
  • 倒すはいくつかのサブカテゴリにまたがりますが、多くの場合、財務、インテリジェンス、ソーシャル、または政治的な利益を共有します。Cybercriminals span several subcategories though they often share common motivations—financial, intelligence, and/or social or political gain. これらのアプローチは、一般に、財務データシステムを infiltrating することによって直接行われます。 skimming micro は、検出されてから終了するまでの時間が小さすぎます。Their approach is usually direct—by infiltrating a financial-data system, skimming micro-amounts too small to detect and exiting before being discovered. 永続的な clandestine プレゼンスを維持することは、目標を達成するために不可欠です。Maintaining a persistent, clandestine presence is critical to meeting their objective.

    これらのアプローチは、labyrinth アカウントを通じて大量の財務支払いを振り向けして、回避の追跡と介入を行う侵入である可能性があります。Their approach may be an intrusion that diverts a large financial payout through a labyrinth of accounts to evade tracking and intervention. 目標は、ターゲットによって所有されている知的財産を盗んで、cybercriminal が製品設計、ソフトウェアのソースコード、または特定のエンティティに価値を持つその他の機密情報を提供する仲介者として機能するようにすることです。At times, the goal is to steal intellectual property that the target possesses so the cybercriminal acts as an intermediary to deliver a product design, software source code, or other proprietary information that has value to a specific entity. これらのアクティビティの半分は、集団犯罪グループによって perpetrated されています。More than half of these activities are perpetrated by organized criminal groups.

  • 国家行政機関は、政府機関に対して、対象となる政府機関、組織、または個人に対して、重要なデータやインテリジェンスへのアクセスを妨害したり、侵害したりする作業を行います。Nation-state actors work for a government to disrupt or compromise targeted governments, organizations, or individuals to gain access to valuable data or intelligence. 国や地域に影響を与える可能性のある結果を得るために、国際的な取り組みを行っています。They are engaged in international affairs to influence and drive an outcome that may benefit a country or countries. 民族によるアクターの目標は、業務を中断したり、企業に対して諜報活動を実施したり、他の政府から、またはその他の方法で信頼が損なわれたりすることです。A nation-state actor’s objective is to disrupt operations, conduct espionage against corporations, steal secrets from other governments, or otherwise undermine trust in institutions. これらは、単純なものから複雑なものまで、さまざまなツールキットを利用して、大規模なリソースを自由に使用できます。また、retribution を心配する必要もありません。They work with large resources at their disposal and without fear of legal retribution, with a toolkit that spans from simple to highly complex.

    国家国家のアクターは、最も洗練された cyberhacking の才能をいくつか紹介し、weaponization のポイントまでツールを進めることができます。Nation-state actors can attract some of the most sophisticated cyberhacking talent and may advance their tools to the point of weaponization. 多くの場合、侵入アプローチには、適切なパスワードを入力したときに何百万もの試行で、supercomputing パワーを使用して資格情報を無効にするという高度な永続的な脅威が伴います。Their intrusion approach often involves an advanced persistent threat using supercomputing power to brute-force break credentials through millions of attempts at arriving at the correct password. また、ハイパーターゲットのフィッシング攻撃を使用して、資格情報を漏洩させることもできます。They may also use hyper-targeted phishing attacks to attract an insider into revealing their credentials.

  • 人間の行動の困難によって、 Insiderの脅威は特に困難です。Insider threats are particularly challenging due to the unpredictability of human behavior. 内部者の動機は、経験上、財務上の利益に関するものです。The motivation for an insider maybe opportunistic and for financial gain. ただし、内部の脅威に対しては複数の原因が考えられ、単純な carelessness から洗練されたスキームにまたがります。However, there are multiple causes for potential insider threats, spanning from simple carelessness to sophisticated schemes. 内部的な脅威に起因する多くのデータ侵害は、偶発的または誤っのアクティビティによって完全に意図されていないため、脆弱性を意識することなく組織のリスクを軽減することができます。Many data breaches resulting from insider threats are completely unintentional due to accidental or negligent activity that puts an organization at risk without being aware of the vulnerability.

  • Hacktivistsは、政治やソーシャルの攻撃に注力しています。Hacktivists focus on political and/or socially-motivated attacks. これらの情報は、自分とその原因に注目するために、ニュースで表示および認識されるように努めています。They strive to be visible and recognized in the news to draw attention to themselves and their cause. これらの戦術には、分散型サービス拒否 (DDoS) 攻撃、脆弱性の悪用、オンラインプレゼンスの defacing が含まれます。Their tactics include distributed denial-of-service (DDoS) attacks, vulnerability exploits or defacing an online presence. ソーシャルまたは政治的な問題に接続することによって、任意の企業または組織をターゲットにすることができます。A connection to a social or political issue can make any company or organization a target. ソーシャルメディアを使用すると、hacktivists はその原因を迅速に伝えるし、他のユーザーを募集できます。Social media enables hacktivists to quickly evangelize their cause and recruit others to participate.

$4 million is the average cost of data breach in 2017

脅威アクターの手法Threat actor techniques

敵対者は、さまざまな高度な手法を使用して保護されている場合でも、組織のネットワークに侵入する方法を見つけるのに熟練しています。Adversaries are skilled at finding ways to penetrate an organization’s network despite the protections in place using various sophisticated techniques. インターネットの初期の時代から、いくつかの戦術がありました。しかし、今日の敵対者の創造性と改良が反映されています。Several tactics have been around since the early days of the Internet, though others reflect the creativity and increasing sophistication of today’s adversaries.

  • ソーシャルエンジニアリングは、ユーザーに対して、それ以外の方法で行われない情報の行動や未承認について、攻撃を受けるための広範な用語です。Social engineering is a broad term for an attack that tricks users into acting or divulging information they would otherwise not do. ソーシャルエンジニアリングは、ほとんどのお客様にとって、問題を回避したり、使い慣れたソースを信頼したり、報酬を得たりすることができるように、お客様にとって良い意思をします。Social engineering plays on the good intentions of most people and their willingness to be helpful, to avoid problems, to trust familiar sources, or to potentially gain a reward. その他の攻撃ベクトルは、ソーシャルエンジニアリングの包括的なものになる可能性がありますが、次のような属性があります。Other attack vectors can fall under the umbrella of social engineering, but the following are some of the attributes that make social engineering tactics easier to recognize and defend against:
    • フィッシング詐欺検出機能は、セキュリティチェーンの最も弱いリンク (ネットワークセキュリティを考慮しない日常的なユーザー) に対して実行されるため、効果的なツールです。Phishing emails are an effective tool because they play against the weakest link in the security chain—everyday users who don’t think about network security as top-of-mind. フィッシングのキャンペーンでは、ユーザーが正当なサイトであると思われるリンクをクリックしたり、悪意のあるコードを含むファイルをダウンロードしたりすることによって、ユーザーの資格情報を誤って共有するように招待または frighten することがあります。A phishing campaign may invite or frighten a user to inadvertently share their credentials by tricking them into clicking a link they believe is a legitimate site or downloading a file that contains malicious code. フィッシング詐欺メールは、正しく記述されていない、わかりやすいものになっています。Phishing emails used to be poorly written and easy to recognize. 現在、敵対者は、不正として識別するのが困難な、正当な電子メールやランディングサイトに使い慣れされています。Today, adversaries have become adept at mimicking legitimate emails and landing sites that are difficult to identify as fraudulent.
    • Id スプーフィングでは、アプリケーションまたはネットワークリソースに提示された情報を falsifying することによって、別の正当なユーザーとしてマスカレーディングを行う必要があります。Identity spoofing involves an adversary masquerading as another legitimate user by falsifying the information presented to an application or network resource. 例としては、アクションを要求する仕事仲間の住所が表示されているように見えますが、電子メールの送信者の実際の送信元はアドレスによって非表示になっています。An example is an email that arrives seemingly bearing the address of a colleague requesting action, but the address is hiding the real source of the email sender. 同様に、URL を偽装して正当なサイトとして表示することもできますが、実際の IP アドレスは実際には cybercriminal のサイトを指しています。Similarly, a URL can be spoofed to appear as a legitimate site, but the actual IP address is actually pointing to a cybercriminal’s site.

  • 私たちは、コンピューティングの夜明け以来、マルウェアを利用してきました。Malware has been with us since the dawn of computing. 現在、デバイスとデータを暗号化することを目的とした、ランサムウェアと悪意のあるコードの強力なアップティックが見られています。Today, we’re seeing a strong up-tick in ransomware and malicious code specifically intended to encrypt devices and data. 倒すは、キーのロックを解除し、対象に制御を戻すために、暗号通貨での支払いを要求します。Cybercriminals then demand payment in cryptocurrency for the keys to unlock and return control to the victim. これは、コンピューターとデータファイルの個々のレベルで、またはより頻繁に企業全体に発生する可能性があります。This can happen at an individual level to your computer and data files, or now more frequently, to an entire enterprise. ランサムウェアの使用は、このような組織が直面する生命または死亡の結果がネットワークのダウンタイムに対して非常に重要であるため、医療分野で特に顕著になります。The use of ransomware is particularly pronounced in the healthcare field, as the life-or-death consequences these organizations face make them highly sensitive to network downtime.

  • サプライチェーンの挿入は、ネットワークにマルウェアを注入するクリエイティブなアプローチの一例です。Supply chain insertion is an example of a creative approach to injecting malware into a network. たとえば、アプリケーションの更新プロセスをハイジャックすることにより、攻撃者はマルウェア対策ツールと保護を回避できます。For example, by hijacking an application update process, an adversary circumvents anti-malware tools and protections. この手法はより一般的になっていることがわかりますが、この脅威は、より包括的なセキュリティ保護がアプリケーション開発者によってソフトウェアに infused されるまで増加し続けます。We are seeing this technique become more common and this threat will continue to grow until more comprehensive security protections are infused into software by application developers.

  • Man-in-the-middle攻撃には、ユーザーとそのユーザーがアクセスしているリソースとの間に自分自身を挿入する敵対者が関与しているため、ユーザーのログイン資格情報などの重要な情報が傍受されます。Man-in-the-middleattacks involve an adversary inserting themselves between a user and a resource they are accessing, thereby intercepting critical information such as a user’s login credentials. たとえば、コーヒーショップの cybercriminal は、wifi ネットワークに参加しているときにユーザーのドメイン資格情報を取得するために、キーログソフトウェアを採用する場合があります。For example, a cybercriminal in a coffee shop may employ key-logging software to capture a users’ domain credentials as they join the wifi network. その後、脅威アクターは、ユーザーの機密情報 (銀行や個人情報など) にアクセスできます。この情報は、お客様がダーク web で使用したり販売したりすることができます。The threat actor can then gain access to the user’s sensitive information, such as banking and personal information that they can use or sell on the dark web.

  • 分散型サービス拒否 (DDoS)攻撃は10年以上にわたり、大量の攻撃は、モノのインターネット (IoT) の急速な成長により一般的になりつつあります。Distributed Denial of Service (DDoS)attacks have been around more than a decade and are massive attacks are becoming more common with the rapid growth of the Internet of Things (IoT). この手法を使用すると、敵対者は、正当なクエリを通過する悪意のあるトラフィックを bombarding て、サイトを overwhelms します。When using this technique, an adversary overwhelms a site by bombarding it with malicious traffic that displaces legitimate queries. 以前は、植えるのマルウェアは、web カメラやスマートサーモスタットなどの IoT デバイスをハイジャックするためによく使用されていました。Previously planted malware is often used to hijack an IoT device such as a webcam or smart thermostat. DDoS 攻撃では、さまざまなソースからの着信トラフィックが、多数の要求を含むネットワークをあふれます。In a DDoS attack, incoming traffic from different sources flood a network with numerous requests. この overwhelms サーバーは、正当な要求からのアクセスを拒否します。This overwhelms servers and denies access from legitimate requests. 多くの攻撃では、IP 送信者アドレス (IP アドレスのスプーフィング) も偽造されているため、攻撃を受けるコンピューターの場所を簡単に識別して敗北することはできません。Many attacks involve forging of IP sender addresses (IP address spoofing) also, so that the location of the attacking machines cannot easily be identified and defeated.

    多くの場合、サービス拒否攻撃は、組織に侵入するためのより不正な労力をカバーまたは使用するために使用されます。Often a denial of service attack is used to cover or distract from a more deceptive effort to penetrate an organization. ほとんどの場合、攻撃者の目的は、侵害された資格情報を使用してネットワークにアクセスし、ネットワーク経由で奪取を移動して、より機密性の高い、重要な情報に対するキーである "強力な" 資格情報にアクセスできるようにすることです。部門.In most cases, the objective of the adversary is to gain access to a network using compromised credentials, then move laterally across the network to gain access to more “powerful” credentials that are the keys to the most sensitive and valuable information within the organization.

90% of all cyberattacks start with a phishing email

サイバースペースの militarizationThe militarization of cyberspace

Cyberwarfare の可能性が高まっているのは、今日の政府と市民の主な懸念事項の1つです。The growing possibility of cyberwarfare is one of the leading concerns among governments and citizens today. これには、戦争でコンピューターとネットワークを使用し、対象とする民族の状態が含まれます。It involves nation-states using and targeting computers and networks in warfare.

攻撃的な操作と防御操作の両方が、サイバー攻撃、諜報、および破壊行為の実施に使用されます。Both offensive and defensive operations are used to conduct cyberattacks, espionage and sabotage. 民族は、その機能を開発し、長年にわたって aggressors、defendants、またはその両方として cyberwarfare に関与してきました。Nation-states have been developing their capabilities and engaged in cyberwarfare either as aggressors, defendants, or both for many years.

高度な軍事投資によって開発された新しい脅威ツールと戦術も侵害される可能性があります。さらに使用するために、倒すによっておけるサイバー攻撃をオンラインおよび weaponized に共有できます。New threat tools and tactics developed through advanced military investments may also be breached and cyberthreats can be shared online and weaponized by cybercriminals for further use.

Microsoft サイバーセキュリティの体制The Microsoft cybersecurity posture

セキュリティは常に Microsoft にとって優先されていますが、マイクロソフトでは、サイバーセキュリティの脅威に対する保護、検出、および対応方法について、継続的な進歩が必要であることを認識しています。While security has always been a priority for Microsoft, we recognize that the digital world requires continuous advances in our commitment in how we protect, detect, and respond to cybersecurity threats. この3つのコミットメントは、サイバー防御に対するアプローチを定義し、マイクロソフトのサイバー防御戦略と機能について説明するための便利なフレームワークとして機能します。These three commitments define our approach to cyber defense and serve as a useful framework for our discussion of Microsoft’s cyber defense strategies and capabilities.


Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches


Microsoft の最初のコミットメントは、お客様と従業員が使用するコンピューティング環境を保護して、クラウドインフラストラクチャとサービス、製品、デバイス、会社の社内リソースの回復性を保証することです。敵対者.Microsoft’s first commitment is to protect the computing environment used by our customers and employees to ensure the resiliency of our cloud infrastructure and services, products, devices, and the company’s internal corporate resources from determined adversaries.

CDOC チームの保護は、センサーとデータセンターから、id とサービスとしてのソフトウェア (SaaS) アプリケーションに至るまで、すべてのエンドポイントにわたっています。The CDOC teams’ protection measures span across all endpoints, from sensors and datacenters to identities and software-as-a-service (SaaS) applications. Indepth —重複するセーフガードとリスク軽減戦略を持つ複数のレイヤーでのコントロールの適用は業界全体においてベストプラクティスであり、お客様や会社の貴重な資産を保護するために採用されています。Defense-indepth—applying controls at multiple layers with overlapping safeguards and risk mitigation strategies—is a best-practice across the industry and it’s the approach we take to protect our valuable customer and corporate assets.

Microsoft の保護戦略には次のものが含まれます。Microsoft’s protection tactics include:

  • カメラ、職員のスクリーニング、フェンスと障壁、物理的なアクセスのための複数の識別方法など、グローバルデータセンターの物理的な環境を広範囲にわたって監視および制御します。Extensive monitoring and controls over the physical environment of our global datacenters including cameras, personnel screening, fences and barriers, and multiple identification methods for physical access.

  • 侵入や DDoS 攻撃からクラウドインフラストラクチャを保護するソフトウェア定義のネットワーク。Software-defined networks that protect our cloud infrastructure from intrusions and DDoS attacks.

  • Multi-factor authentication は、id とアクセスの管理を制御するために、インフラストラクチャ全体で使用されます。Multi-factor authentication is employed across our infrastructure to control identity and access management. これにより、重要なリソースとデータは、次の2つ以上によって保護されます。It ensures that critical resources and data are protected by at least two of the following:
    • 既知のもの (パスワードまたは PIN)Something you know (password or PIN)
    • ユーザー自身の特性 (生体認証)Something you are (biometrics)
    • 持っているもの (smartphone)Something you have (smartphone)
  • 非永続的な管理では、インフラストラクチャとサービスを管理するエンジニアスタッフに just-in-time (JIT) と十分な管理者 (JEA) の特権を採用しています。Non-persistent administration employs just-in-time (JIT) and just-enough administrator (JEA) privileges to engineering staff who manage infrastructure and services. これにより、指定された期間が経過すると自動的に期限切れになる、昇格したアクセスのための一意の資格情報のセットが提供されます。This provides a unique set of credentials for elevated access that automatically expires after a pre-designated duration.

  • 適切な検疫は、最新のマルウェア対策ソフトウェアによって厳格に管理され、修正プログラムの適用と構成の管理に厳格に準拠しています。Proper hygiene is rigorously maintained through up-to-date, anti-malware software and adherence to strict patching and configuration management.

  • Microsoft マルウェアプロテクションセンターの研究者チームは、マルウェアの署名を特定し、リバースエンジニアリングし、開発した後、高度な検出と防御のためにインフラストラクチャ全体に展開します。Microsoft Malware Protection Center’s team of researchers identify, reverse engineer, and develop malware signatures and then deploy them across our infrastructure for advanced detection and defense. これらの署名は、Windows の更新プログラムと通知を通じて、お客様のデバイスを保護するために、マイクロソフトのレスポンダー、お客様、業界に配布されます。These signatures are distributed to our responders, customers and the industry through Windows Updates and notifications to protect their devices.

  • Microsoft セキュリティ開発ライフサイクル (Security Development Lifecycle: SDL) は、開発者がセキュリティで保護されたソフトウェアを構築し、セキュリティコンプライアンス要件に対処しながら開発コストを削減するのに役立つソフトウェア開発プロセスです。Microsoft Security Development Lifecycle (SDL) is a software development process that helps developers build more secure software and address security compliance requirements while reducing development cost. SDL は、すべてのアプリケーション、オンラインサービスと製品を強化し、侵入テストと脆弱性スキャンによってその有効性を定期的に検証するために使用されます。The SDL is used to harden all applications, online services and products, and to routinely validate its effectiveness through penetration testing and vulnerability scanning.

  • 脅威のモデル化と攻撃対象の分析により、潜在的な脅威が評価され、サービスの公開された側面が評価され、サービスの制限や不要な機能の排除によって、攻撃対象領域が最小限に抑えられます。Threat modeling and attack surface analysis ensures that potential threats are assessed, exposed aspects of the service are evaluated, and the attack surface is minimized by restricting services or eliminating unnecessary functions.

  • 機密性に基づいてデータを分類し、転送中および保存中の暗号化を含む、データを保護する適切な手段を取って、最小限の権限でのアクセス権の原則を適用すると、保護が強化されます。Classifying data according to its sensitivity and taking the appropriate measures to protect it, including encryption in transit and at rest, and enforcing the principle of least-privilege access provides additional protection. •ユーザーとセキュリティチームの間の信頼関係を促進し、ユーザーが repercussion を恐れることなくインシデントと異常を報告する環境を開発するための認識トレーニング。• Awareness training that fosters a trust relationship between the user and the security team to develop an environment where users will report incidents and anomalies without fear of repercussion.

豊富なコントロールセットと多層防御戦略を持つことにより、1つの領域で障害が発生した場合に、お客様、クラウドサービス、および自社のインフラストラクチャのセキュリティとプライバシーを維持するために、他の領域に補正制御を加えることができます。Having a rich set of controls and a defense-in-depth strategy helps ensure that should any one area fail, there are compensating controls in other areas to help maintain the security and privacy of our customers, cloud services, and our own infrastructure. ただし、ユーザーがエラーを発生させ、敵対者が脆弱性を検出して悪用するため、実際に impenetrable 環境はありません。However, no environment is truly impenetrable, as people will make errors and determined adversaries will continue to look for vulnerabilities and exploit them. これらの保護レイヤーとベースライン分析における重要な投資では、異常なアクティビティがある場合に迅速に検出できます。The significant investments we continue to make in these protection layers and baseline analysis enables us to rapidly detect when abnormal activity is present.


57+ days is the industry's median number of days between infiltration and detection


CDOC チームは、自動化されたソフトウェア、機械学習、行動分析、およびフォレンジック手法を採用して、環境のインテリジェントなセキュリティグラフを作成します。The CDOC teams employ automated software, machine learning, behavioral analysis, and forensic techniques to create an intelligent security graph of our environment. この信号は、Active Directory、資産と構成の管理システム、イベントログなどのソースから生成されたコンテキストメタデータと動作モデルによって強化されています。This signal is enriched with contextual metadata and behavioral models generated from sources such as Active Directory, asset and configuration management systems, and event logs.

Security analytics における広範な投資により、豊富な行動プロファイルと予測モデルが構築されます。これにより、ドットを "接続" して、検出されない可能性がある高度な脅威を特定し、強力な含有と連携した修復アクティビティ。Our extensive investments in security analytics build rich behavioral profiles and predictive models that allow us to “connect the dots” and identify advanced threats that might otherwise have gone undetected, then counter with strong containment and coordinated remediation activities.

Microsoft では、industryleading ツールと機械学習と共に、カスタム開発されたセキュリティソフトウェアも採用しています。Microsoft also employs custom-developed security software, along with industryleading tools and machine learning. 脅威インテリジェンスは絶えず進化しています。自動化されたデータ強化を使用すると、悪意のあるアクティビティとレポートをより迅速に検出し、忠実性を高めることができます。Our threat intelligence is continually evolving, with automated data-enrichment to more rapidly detect malicious activity and report with high fidelity. 脆弱性スキャンは、保護対策の有効性をテストし、調整するために定期的に実行されます。Vulnerability scans are performed regularly to test and refine the effectiveness of protective measures. マイクロソフトのセキュリティエコシステムへの投資の幅、および CDOC チームによって監視されるさまざまな信号は、ほとんどのサービスプロバイダーで実現できるより包括的な脅威のビューを提供します。The breadth of Microsoft’s investment in its security ecosystem and the variety of signals monitored by the CDOC teams provide a more comprehensive threat view than can be achieved by most service providers.

Microsoft の検出戦術は次のとおりです。Microsoft’s detection tactics include:

  • サイバーセキュリティイベントが発生する可能性があるため、ネットワークおよび物理環境を24時間365日体制で監視します。Monitoring network and physical environments 24x7x365 for potential cybersecurity events. 動作のプロファイルは、使用パターンに基づいており、マイクロソフトのサービスに対する固有の脅威について理解しています。Behavior profiling is based on usage patterns and an understanding of unique threats to our services.

  • Id と行動の分析は、異常なアクティビティを強調表示するために開発されています。Identity and behavioral analytics are developed to highlight abnormal activity.

  • 機械学習ソフトウェアのツールと手法は、異常を検出してフラグを付けるために、定期的に使用されます。Machine learning software tools and techniques are routinely used to discover and flag irregularities.

  • 高度な分析ツールとプロセスをデプロイして、異常なアクティビティと革新的な相関関係機能をさらに特定します。Advanced analytical tools and processes are deployed to further identify anomalous activity and innovative correlation capabilities. これにより、ほぼリアルタイムで膨大な量のデータから highlycontextualized 検出を作成できるようになります。This enables highlycontextualized detections to be created from the enormous volumes of data in near real-time.

  • 継続的に監査され、改善されたソフトウェアベースのプロセス。Automated software-based processes that are continuously audited and evolved for increased effectiveness.

  • データ科学者とセキュリティの専門家は、定期的にサイドバイサイドで作業して、ターゲットをさらに分析する必要がある異常な特性を示すエスカレートされたイベントに対応します。Data scientists and security experts routinely work side-by-side to address escalated events that exhibit unusual characteristics requiring further analysis of targets. その後、潜在的な応答と修復作業を決定できます。They can then determine potential response and remediation efforts.


90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware


Microsoft は、システムの異常なアクティビティを検出すると、応答チームに対して、正確なフォースによって関与し、迅速に対応することをトリガーします。When Microsoft detects abnormal activity in our systems, it triggers our response teams to engage and quickly respond with precise force. ソフトウェアベースの検出システムからの通知は、リスクベースのアルゴリズムを使用して自動化された応答システムを経由して、応答チームの介入を必要とするイベントにフラグを付けることができます。Notifications from software-based detection systems flow through our automated response systems using risk-based algorithms to flag events requiring intervention from our response team. 平均を軽減することが最優先事項であり、自動化システムが、トリアージ、軽減、復旧を促進する関連の実用的な情報を応答側に提供します。Mean-Time-to-Mitigate is paramount and our automation system provides responders with relevant, actionable information that accelerates triage, mitigation, and recovery.

このような大規模なセキュリティインシデントを管理するために、階層型システムをデプロイして、適切なリソースに応答タスクを効率的に割り当て、合理的なエスカレーションパスを促進します。To manage security incidents at such a massive scale, we deploy a tiered system to efficiently assign response tasks to the right resource and facilitate a rational escalation path.

Microsoft の応答戦術は次のとおりです。Microsoft’s response tactics include:

  • 自動応答システムでは、リスクベースのアルゴリズムを使用して、ユーザーの介入を必要とするイベントにフラグを付けることができます。Automated response systems use risk-based algorithms to flag events requiring human intervention.

  • 自動応答システムでは、リスクベースのアルゴリズムを使用して、ユーザーの介入を必要とするイベントにフラグを付けることができます。Automated response systems use risk-based algorithms to flag events requiring human intervention.

  • 継続的な改善モデル内で適切に定義、文書化、およびスケーラブルなインシデント対応プロセスを行うことで、これらをすべてのレスポンダーで使用できるようにすることで、敵対者の前を守ることができます。Well-defined, documented, and scalable incident response processes within a continuous improvement model helps to keep us ahead of adversaries by making these available to all responders.

  • 複数のセキュリティ分野におけるチーム全体の専門知識は、インシデントに対応するためのさまざまなスキルセットを提供します。Subject matter expertise across our teams, in multiple security areas, provides a diverse skill set for addressing incidents. インシデント対応、フォレンジック、侵入分析におけるセキュリティの専門知識クラウドデータセンターで運用されているプラットフォーム、サービス、アプリケーションについて深く理解します。Security expertise in incident response, forensics, and intrusion analysis; and a deep understanding of the platforms, services, and applications operating in our cloud datacenters.

  • クラウド、ハイブリッド、オンプレミスのデータとシステム全体で大規模なエンタープライズ検索を行い、インシデントの範囲を決定します。Wide enterprise searching across cloud, hybrid and on-premises data and systems to determine the scope of an incident.

  • 主要な脅威に対する詳細なフォレンジック分析は、インシデントを把握し、その含有と取り組みを支援するために、スペシャリストによって実行されます。Deep forensic analysis for major threats are performed by specialists to understand incidents and to aid in their containment and eradication. • Microsoft のセキュリティソフトウェアツール、automation、およびハイパースケールのクラウドインフラストラクチャにより、セキュリティの専門家は、サイバー攻撃の検出、調査、分析、応答、復旧までの時間を短縮できます。• Microsoft’s security software tools, automation and hyper-scale cloud infrastructure enable our security experts to reduce the time to detect, investigate, analyze, respond, and recover from cyberattacks.

  • 侵入テストは、実際の敵対者が攻撃に対してこれらの脆弱点を活用できるようになる前に、継続的な Red Team/Blue チームの演習によって、すべての Microsoft 製品とサービスにわたって使用されます。Penetration testing is employed across all Microsoft products and services through ongoing Red Team/Blue Team exercises to unearth vulnerabilities before a real adversary can leverage those weak points for an attack.

お客様向け CyberdefenseCyberdefense for our customers

Microsoft は、お客様の環境に合わせてお客様が採用できるツールとプロセス、および Microsoft が実装にどのように役立つかについてよく寄せられます。We are often asked what tools and processes our customers can adopt for their own environment and how Microsoft might help in their implementation. Microsoft は、CDOC で使用される cyberdefense 製品とサービスの多くを、さまざまな製品やサービスに統合しています。Microsoft has consolidated many of the cyberdefense products and services we use in the CDOC into a range of products and services. Microsoft Enterprise サイバーセキュリティグループと Microsoft コンサルティングサービスチームは、お客様の特定のニーズと要件に最も適したソリューションを提供します。The Microsoft Enterprise Cybersecurity Group and Microsoft Consulting Services teams engage with our customers to deliver the solutions most appropriate for their specific needs and requirements.

マイクロソフトが強く推奨する最初の手順の1つは、セキュリティ基盤を確立することです。One of the first steps that Microsoft highly recommends is to establish a security foundation. Microsoft の基盤サービスは、資産の保護を確保するために役立つ、重要な攻撃防御とコア id 有効化サービスを提供します。Our foundation services provide critical attack defenses and core identity-enablement services that help you to ensure assets are protected. この基盤は、デジタル変革を促進して、より安全な現代の企業に移行するのに役立ちます。The foundation helps you to accelerate your digital transformation journey to move towards a more secure modern enterprise.

この基盤を基盤として、お客様は、マイクロソフトの他のお客様との実績があるソリューションを利用し、Microsoft の独自の IT およびクラウドサービス環境にデプロイすることができます。Building on this foundation, customers can then leverage solutions proven successful with other Microsoft customers and deployed in Microsoft’s own IT and cloud services environments. Enterprise サイバーセキュリティのツール、機能、サービス内容の詳細については、 にアクセスし、cyberservices@microsoft.comでチームにお問い合わせください。For more information on our enterprise cybersecurity tools, capabilities and service offerings, please visit and contact our teams at

環境を保護するためのベストプラクティスBest practices to protect your environment

お使いのプラットフォームに投資するInvest in your platform インストルメンテーションに投資するInvest in your instrumentation ユーザーに投資するInvest in your people
機敏性とスケーラビリティには、プラットフォームを有効にするための計画と構築が必要Agility and scalability require planning and building enabling platform プラットフォームの要素を徹底的に測定していることを確認するEnsure you are exhaustively measuring the elements in your platform 熟練したアナリストとデータ科学者は防御の基盤であり、ユーザーは新しいセキュリティ境界です。Skilled analysts and data scientists are the foundation of defense, while users are the new security perimeter
資産の文書化されたインベントリを管理するMaintain a well-documented inventory of your assets ネットワーク、ホスト、ログを完全に監視するために必要なツールを取得または構築します。Acquire and/or build the tools needed to fully monitor your network, hosts, and logs インシデント対応チームとその他のグループ間の通信の関係と回線Establsih relationships and lines of communication between the incident response team and other groups
明確に定義されたセキュリティポリシーを使用して、明確な標準とガイダンスを組織に与えますHave a well-defined security policy with clear standards and guidance for your organization 制御とメジャーを積極的に管理し、正確さと有効性を確認するために定期的にテストするProactively maintain controls and measures, and regularly test them for accuracy and effectiveness 最小限の特権を持つ管理者の原則を採用します。永続的な管理者権限を排除するAdopt least privilege administrator principles; eliminate persistent administrator rights
適切な検疫の維持-ほとんどの攻撃は、タイムリーな修正プログラムとウイルス対策を使用して阻止できます。Maintain proper hygiene—most attacks could be prevented with timely patches and antivirus 変更管理ポリシーを厳重に管理するMaintain tight control over change management policies レッスンで学習したプロセスを使用して、すべての主要なインシデントから価値を得ることができます。Use the lessons-learned process to gain value from every major incident
Multi-factor authentication を使用してアカウントとデバイスの保護を強化するEmploy multi-factor authentication to strengthen protection of accounts and device 不正なアカウントと資格情報の利用状況を監視して不正使用を検出するMonitor for abnormal account and credential activity to detect abuse ビジネスデータの保護における潜在的な脅威とその役割をユーザーが認識できるように、参加、教育、および支援します。Enlist, educate, and empower users to recognize likely threats and their own role in protecting business data